DNS TXT レコードを利用したマルウェアの実行方法 Posted By ATCP , 2023년 06월 30일 AhnLab Security Emergency response Center (ASEC)では、マルウェアを実行するプロセスで DNS TXT レコードを利用する状況を確認した。 このような方式は従来のマルウェア実行方法としては広く利用されていなかったため、解析/検知を始めとする様々な観点において意味があると思われる。 DNS TXT…
ASEC 週間フィッシングメールの脅威トレンド (20230611 ~ 20230617) Posted By ATCP , 2023년 06월 29일 AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年06月11日から06月17日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多かったタイプは AgentTesla、FormBook、AveMaria のような Web…
アレアハングルドキュメントファイルに偽装したマルウェア(Kimsuky) Posted By ATCP , 2023년 06월 26일 AhnLab Security Emergency response Center (ASEC)では、CHM、OneNote 等のファイル形式で配布されていたマルウェアが最近、実行ファイル形式で配布されていることを確認した。マルウェアで使用された単語および実行されるスクリプトコードが過去に解析を行ったコードと類似していることから、同じ攻撃グループ(Kimsuky)が制作したものと推定される。 Kimsuky グループの配布マルウェア解析レポート(韓国語) – 2022.10.20 謝礼費支給の内容に偽装した OneNote…
個人を盗聴する RedEyes グループ (APT37) Posted By ATCP , 2023년 06월 23일 1. 概要 RedEyes(APT37、ScarCruft、Reaper としても知られる)グループは国から支援を受ける APT 組織であり、主に脱北者、人権運動家、大学教授等の個人をターゲットに攻撃を実行する。彼らの任務は、特定人物の日常を監視することだと知られている。ASEC (AhnLab Security Emergency response Center)は2023年5月、RedEyes グループが…
様々なテーマを利用して CHM マルウェアを拡散している Kimsuky Posted By ATCP , 2023년 06월 21일 AhnLab Security Emergency response Center (ASEC)では、Kimsuky グループの APT 攻撃を絶えず追跡しており、先月5月の1か月間に確認された内容を紹介する。Kimsuky グループはマルウェアの配布にドキュメントファイルを多用してきたが、最近では CHM を利用した配布方式が多数確認されている。また、ほとんどのドキュメント内で対北朝鮮に関するテーマを扱っていたこれまでとは異なり、様々なテーマを利用して攻撃を試みている。…
MS-SQL サーバーを攻撃している BAT ファイル拡張子のランサムウェア解析(Mallox) Posted By ATCP , 2023년 06월 21일 AhnLab Security Emergency response Center (ASEC)では最近、不適切に管理されている MS-SQL サーバーを対象に、BAT ファイル拡張子の Mallox ランサムウェアが配布されていることを確認した。不適切に管理されている MS-SQL サーバーを対象に配布されるファイル形式が、EXE…
ASEC 週間フィッシングメールの脅威トレンド (20230604 ~ 20230610) Posted By ATCP , 2023년 06월 20일 AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年06月04日から06月10日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、ダウンローダー(Downloader, 37%)が最も多い数を占めていた。ダウンローダーは、インフォスティラー、バックドアなど様々な追加マルウェアをダウンロードしていた。その次に多かったタイプは AgentTesla、FormBook、AveMaria のような…
.NET インストーラーに偽装した RecordBreaker 情報窃取マルウェア Posted By ATCP , 2023년 06월 20일 クラックに偽装して拡散しているマルウェアが進化している。 過去では単純にマルウェアの実行ファイル自体を配布していたのに対し、圧縮ファイル内部に正常なファイルを含むようになり、最近では正常なインストーラーをダウンロード後に実行するサンプルが登場した。 一般的なユーザー環境でマルウェアを実行した場合、攻撃者のサーバーから暗号化されたマルウェアファイルをダウンロード後に実行するが、このマルウェアは情報窃取機能を持つ RecordBreaker Stealer (Raccoon Stealer V2)である。 しかし、仮想環境ではマルウェアではなく、MS 公式ホームページから .NET のアップデートインストーラーをダウンロードして実行したあと、終了する。従来の…
Linux SSH サーバーを対象として拡散している Tsunami DDoS マルウェア Posted By ATCP , 2023년 06월 20일 AhnLab Security Emergency response Center (ASEC)では最近、不適切に管理されている Linux SSH サーバーを対象に Tsunami DDoS Bot…
セキュリティアップデートのインストーラーに偽装したマルウェアの配布に注意 Posted By ATCP , 2023년 06월 20일 AhnLab では、国家サイバー安保センター(NCSC)合同解析協議体と共に、最近特定の政府による支援を受けているハッキンググループの攻撃活動を捕捉した。 発見されたマルウェアはセキュリティアップデートのインストーラーに偽装しており、以下のように Inno Setup ソフトウェアを使用して制作されていた。 [図1] Security Upgrade に偽装したインストーラー Inno Setup…
